Passer au contenu
En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post
À propos de re:Post

Comment puis-je utiliser IAM pour accéder aux ressources d'un autre compte AWS ?

Lecture de 4 minute(s)
0

Je souhaite configurer l'accès intercompte à un rôle Gestion des identités et des accès AWS (AWS IAM) dans un autre compte AWS.

Brève description

Important : AWS vous recommande d'utiliser des rôles IAM disposant d’informations d'identification temporaires pour l'accès intercompte au lieu d'utiliser des utilisateurs IAM dotés d'informations d'identification à long terme (clés d'accès). Les rôles IAM fournissent des informations d'identification de sécurité temporaires qui changent automatiquement, ce qui réduit les risques de sécurité associés aux informations d'identification à long terme.

Pour accéder aux ressources d'un autre compte AWS, configurez une relation d’approbation avec un rôle IAM. Cette approche utilise l'opération d'API AssumeRole pour obtenir des informations d'identification de sécurité temporaires.

Par exemple, vous souhaitez accéder au compte de destination depuis le compte source. Configurez un rôle IAM dans le compte source afin qu'il assume un rôle IAM dans le compte de destination. Pour plus d'informations sur l'accès intercompte à l'aide de rôles IAM, consultez la section Accès d'un utilisateur IAM à un autre compte AWS dont vous êtes le propriétaire.

Remarque : vous pouvez également utiliser le chaînage de rôles pour attribuer un rôle d'un rôle IAM source à un rôle IAM de destination. Le chaînage de rôles ne fonctionne que pour l’accès par programmation tel que l'interface de ligne de commande AWS (AWS CLI) ou l'API. Le chaînage de rôles ne peut pas être utilisé avec la console de gestion AWS.

Résolution

Remarque : si des erreurs surviennent lorsque vous exécutez des commandes de l’interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre les erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'AWS CLI.

Pour utiliser IAM afin d'accéder aux ressources d'un autre compte AWS, procédez comme suit.

Compte source

Procédez comme suit :

  1. Utilisez l'éditeur JSON pour créer une politique IAM qui autorise à assumer le rôle de destination : 
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "sts:AssumeRole"
      ],
      "Resource": [
        "arn:aws:iam::DESTINATION-ACCOUNT-ID:role/DESTINATION-ROLENAME"
      ]
    }
  ]
}
    Remarque : remplacez DESTINATION-ACCOUNT-ID et DESTINATION-ROLENAME par vos propres valeurs.
  2. Associez la politique IAM au SourceRole.

Compte de destination

Procédez comme suit :

  1. Créez un rôle IAM sur la console.
  2. Créez une politique d’approbation personnalisée qui permet au rôle du compte source d'assumer ce rôle : 
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::SOURCE-ACCOUNT-ID:role/SOURCE-ROLENAME"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
    Remarque : remplacez SOURCE-ACCOUNT-ID et SOURCE-ROLENAME par vos propres valeurs.
  3. Associez à ce rôle des politiques d'autorisations qui accordent l'accès aux ressources spécifiques nécessaires dans le compte de destination.

Remarque : si vous n'avez pas accès à la création et à la modification de rôles IAM, demandez au propriétaire du compte de vous aider à terminer le processus. Il est recommandé de restreindre l'accès à votre compte et à vos ressources de manière que seules les entités que vous avez approuvées puissent y accéder.

Vous pouvez modifier cette politique pour autoriser l'attribution d’autant d’entités source à autant de rôles de destination que nécessaire. Par exemple, vous pouvez modifier la valeur de Principal de la politique d’approbation du compte de destination en « AWS » : « SOURCE-ACCOUNT-ID ». Cela permet à toutes les entités du compte source dotées des autorisations relatives à l’exercice du rôle d'endosser le rôle de compte de destination. Pour plus d'informations, consultez la section Comment spécifier un principal et Création ou modification de la stratégie.

Tester votre accès

Pour tester votre accès, suivez les instructions figurant dans la section Basculer d'un rôle utilisateur vers un rôle IAM (console) ou Basculer vers un rôle IAM (AWS CLI). Pour de plus amples informations, consultez la section Didacticiel IAM : Déléguer l’accès intercompte AWS à l’aide de rôles IAM.

Informations connexes

Accès aux ressources intercompte dans IAM

Comment utiliser l'AWS CLI pour assumer un rôle IAM ?

Comment puis-je résoudre le message d'erreur « Has prohibited field Principal » qui s'affiche lorsque je crée ou mets à jour une politique IAM ?

Comment puis-je fournir un accès intercompte à des objets se trouvant dans des compartiments Amazon S3 ?

Comment puis-je résoudre l’erreur « AccessDenied » ou « Invalid information » lorsque j’essaie d’assumer un rôle IAM intercompte ?

Sujets
Security, Identity, & Compliance
Balises
AWS Identity and Access Management
Langue
Français

Vidéos associées

Regarder la vidéo d’Athul pour en savoir plus (5:13)
Regarder la vidéo d’Athul pour en savoir plus (5:13)
AWS OFFICIELA mis à jour il y a 3 mois
Aucun commentaire

Contenus pertinents